IEC 62443とは何か、工場のサイバーセキュリティ対策のカギを握る国際標準を解説：今さら聞けない「IEC 62443」（1）（2/2 ページ）

スマートファクトリー化に伴い工場でもネットワーク化が進む中で、サイバーセキュリティ対策が欠かせないものとなりつつあります。しかし、製造現場ではこれらのサイバーセキュリティ対策のノウハウもなく「何から手を付けてよいか分からない」と戸惑う現場が多いのも現実です。その中で活用が進んでいるのが国際標準である「IEC 62443」です。本連載では、「IEC 62443」の概要と活用方法についてお伝えします。

[長澤宣和／Moxa Japan，MONOist]

IEC 62443の構成と対象者

　IEC 62443は、ポリシーと手順、システム、コンポーネントと非常に広い範囲を定義しており、関係者やステークホルダーも非常に多くなる制御システムの特性を踏まえて整理がなされています。

　基本的にはIEC 62443は以下の4つのグループで構成されています。

• IEC 62443-1：概要
• IEC 62443-2：ポリシー、手順
• IEC 62443-3：システム
• IEC 62443-4：コンポーネント

　また、これらの4つのグループを活用する主体を以下のように示しています。

• IEC 62443-1：全ての関係者
• IEC 62443-2：アセットオーナー（工場）向け
• IEC 62443-3：制御システムのシステムインテグレーター向け
• IEC 62443-4：制御関連製品の製品供給者（機器のサプライヤー）向け

　日本の製造業においては、生産技術部門がシステムインテグレーターの役割を果たすことも多いため、自社の担当者の役割に当てはめた置き換えが必要になりますが、どの役割の担当者が、何を検討するかの参考にするための利用が可能になります。

　この4つのグループの中で、さらにパートという形でより詳細な要件や管理手法などが定義されおり、具体的に活動の指標になるというわけです。

IEC 62443の全体像［クリックで拡大］ 出所：筆者が作成

　工場の運用手順などを検討する際にはIEC 62443-2、システムを検討する際にはIEC 62443-3 を参照するといった形で、活用している企業もあります。以下に実際にIEC 62443を活用したいくつかの事例を紹介します。

• 製造業の顧客からの依頼を受け、現状の工場運用の改善のためIEC 62443-2を参考にしながら、工場システムのセキュリティおよびコンサルティングサービスを提供する
• 生産設備を新設する際に、IEC 62443-3におけるシステムセキュリティの要求をどのような形で満たしているのかを確認する
• 調達する機器の開発体制を担保するためにIEC 62443-4に準拠した開発体制を持つメーカーの機器を採択基準にする

　IEC 62443のより詳しい使い方は、それぞれのグループごとに、本連載内で解説を予定しています。以下のように、具体的にIEC 62443を活用してきた企業の担当者が以下のように分担しながら、記事をまとめていく予定です。

• IEC 62443-2：工場のアセットオーナーの課題解決に務めるセキュリティコンサルタントとしての立場での活用方法
• IEC 62443-3：工場向けに提案するシステムインテグレーターでの活用方法
• IEC 62443-4：工場向けの機器を提供するサプライヤーとしての立場での活用方法

　本稿では、ここまでで「IEC 62443の概要」「IEC 62443におけるセキュリティレベルの考え方」「IEC 62443の構成と対象者」についてまとめました。スマートファクトリーをはじめとしたこれからの制御システムにおいて、サイバーセキュリティ対策は欠かすことができない存在になりつつあります。まず、第一歩を踏み出す際の参考に、IEC 62443を使いやすいガイドラインとして活用できるものです。本連載が、こうした具体的な一歩を進める助けとなれば幸いだと考えています。次回もぜひ、ご一読いただけますようよろしくお願いいたします。

≫連載「今さら聞けない『IEC 62443』」の目次

筆者紹介

長澤宣和（ながさわ のりかず）
MOXA Japan プロダクトマーケティング部 部長

2001年からネットワークベンダーでネットワークを中心とした情報通信インフラ設備の提案や導入に従事する中、2019年からMOXA Japanに所属。特に製造業を中心としたIoTビジネス推進や工場ネットワーク構築などを中心とした提案活動を行っている。